Delegieren Sie die Active Directory-Verwaltung in Windows Server

Delegieren Sie die Active Directory-Verwaltung in Windows Server | Microsoft 2024
Delegieren Sie die Active Directory-Verwaltung in Windows Server | Microsoft 2024

Einer der wichtigsten, aber gleichzeitig sorgfältigsten Aspekte in einer Serverumgebung ist es, zu definieren, wer auf den Server zugreifen darf und welche Privilegien er innerhalb des Systems seither haben darf alle nicht erforderlichen oder genehmigten Änderungen können die gesamte Infrastruktur der Organisation gefährden.

Viele von uns als IT-Mitarbeiter in unseren Unternehmen mussten Benutzern, die nicht zu dieser Gruppe gehören sollten, Administratorberechtigungen erteilen, da sie eine Art administrativer Aufgabe ausführen müssen und dies als normale Benutzer nicht möglich ist.

Ein reales Beispiel, das wir kennen, ist, dass ein Benutzer aus der Systemgruppe des Landes Bolivien der Gruppe Administratoren hinzugefügt werden musste, um Benutzer zu einer speziellen Organisationseinheit zu erstellen, für die dieser Benutzer hinzugefügt werden musste die Gruppe Administratoren und die Überraschung Es kam, als dieser Benutzer einige sehr wichtige Produktionsanlagen eliminierte, was ein wenig Chaos im Unternehmen verursachte.

Um diese Probleme zu lösen Windows Server bietet die Möglichkeit, die Verwaltung zu delegieren von bestimmten Aufgaben an bestimmte Benutzer in bestimmten OUs, Domänen oder GPOs.

1. Verstehen der Delegation der Administration in Windows Server 2016


Für viele mag es chaotisch und gefährlich klingen, Benutzern, die möglicherweise nicht über die Erfahrung oder das Wissen verfügen, um die Elemente von Windows Server 2016 zu verwalten, Administratorrollen zuzuweisen, und wie wir wissen, ist es nicht möglich, einen Benutzer zur Gruppe Administratoren hinzuzufügen und beschränken Sie Aufgaben seit Standardmäßig gewährt diese Gruppe die gesamte Verwaltung über den Server.

Indem wir die Verwaltung delegieren, können wir angeben, dass ein Benutzer ohne tiefe Erfahrung einen Benutzer in einer bestimmten Organisationseinheit erstellen kann, ohne den Rest des Systems zu beeinträchtigen, da er nur Zugriff auf die von uns ermittelten und nicht auf den gesamten Baum hat Windows Server 2016.

Administratorberechtigungen können einem Benutzer oder einer Gruppe erteilt werden Es enthält verschiedene Benutzer, aber das Wichtigste ist, dass wir sehr genau wissen, welche Berechtigungen und wem wir sie erteilen. Für diese Studie haben wir eine OU namens Permissions erstellt und wir haben eine Gruppe namens Solvetic und einen Benutzer namens Access erstellt (der Benutzer wurde in die Solvetic-Gruppe aufgenommen).

Da wir wissen, dass sich kein Benutzer sofort mit der Domain verbinden kann, müssen wir den Zugriff dieses Benutzers auf die Domäne autorisieren, für die wir dem Benutzer die Erlaubnis erteilen Zugang um sich mit der Domäne zu verbinden.

Um diese Erlaubnis zu erhalten, müssen wir Öffnen Sie den GPO-Gruppenrichtlinien-Editor, Halten Sie dazu die Taste gedrückt Fenster + R scheint in der Lage zu sein, einen Befehl zur Ausführung einzugeben, geben Sie Folgendes ein: 

 gpedit.msc
Sie gehen auf die folgende Route:
  • Richtlinien für lokale Computer
  • Gerätekonfiguration
  • Windows-Einstellungen
  • Sicherheitseinstellungen
  • Lokale Richtlinien
  • Zuweisung von Rechten

Und dort die Option auswählen Lokale Anmeldung zulassen. Damit kann sich diese Gruppe oder dieser ausgewählte Benutzer lokal am Computer oder Server anmelden, um bestimmte Aufgaben ausführen zu können.

Hier fügen wir einfach die Solvetic-Gruppe hinzu, damit sich der Access-Benutzer anmelden kann.

2. Implementieren der Delegation der Administration in Windows Server 2016


Nachdem wir den Benutzer hinzugefügt haben, damit er sich anmelden kann, beginnen wir mit dem Delegierungsprozess an den angegebenen Benutzer, in diesem Fall Access, erteilen wir ihm Berechtigungen in der Organisationseinheit Berechtigungen. Dafür geben wir Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Berechtigungen und wählen Sie die Option Kontrolle delegieren.

Wir sehen, dass der Assistent für die Delegation der Kontrolle angezeigt wird. Wir klicken auf Weiter.

Als nächstes müssen wir die von uns erstellte Solvetic-Gruppe hinzufügen, dazu klicken wir auf die Schaltfläche Hinzufügen und suchen nach der Gruppe.

Wir klicken erneut auf Weiter und wir können sehen, dass es verschiedene Aufgaben gibt, die an den Benutzer delegiert werden können, wie zum Beispiel:

  • Gruppen erstellen, bearbeiten oder löschen
  • Benutzer erstellen, bearbeiten oder löschen
  • Gruppenmitgliedschaften ändern
  • Gruppenrichtlinien verwalten

In diesem Fall Wir wählen die Optionen Erstellen, Löschen und Verwalten von Gruppen und Erstellen, Löschen und Verwalten von Benutzerkonten Auswahl der entsprechenden Kästchen.

Wir klicken auf Weiter und sehen, dass wir die erforderliche Konfiguration abgeschlossen haben.

Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.

3. Überprüfen Sie die Delegation der Kontrolle


Als nächstes melden wir uns mit dem Access-Benutzer in Windows Server 2016 an.

VERGRÖSSERN

Sobald wir uns angemeldet haben, versuchen wir, einen Benutzer in der Organisationseinheit Berechtigungen zu erstellen, um zu überprüfen, ob wir einen Benutzer erstellen können.

VERGRÖSSERN

Wir erstellen einen Benutzer namens Solvetic1. Wir werden auch eine Gruppe namens Tests erstellen (denken Sie daran, dass dem Zugriffsbenutzer die Kontrolle zum Erstellen, Bearbeiten oder Löschen von Benutzern und Gruppen übertragen wurde).

Wenn wir versuchen, eine nicht delegierte Aufgabe auszuführen, z. B. ein Team oder eine andere hinzuzufügen, wird eine Meldung angezeigt, dass wir das Objekt aus Sicherheitsgründen nicht erstellen können.

4. Überprüfen Sie die Berechtigungen der erstellten Gruppe


Wir können mit dem Administrator-Benutzer wieder auf Windows Server 2016 zugreifen und gehen zu Active Directory-Benutzer und -Computer, dort müssen wir zum Menü Ansicht gehen und die Option Erweiterte Funktionen auswählen. Dort klicken wir mit der rechten Maustaste auf die Organisationseinheit Berechtigungen und sehen, dass die Gruppe Solvetic spezielle Berechtigungen hat.

Wenn wir auf die Schaltfläche Erweiterte Optionen klicken, können wir die Berechtigungen sehen, die wir während des Delegierungsprozesses erstellt haben.

Wie wir sehen Durch die Delegation der Kontrolle in Windows Server 2016 können wir bestimmte Aufgaben zuweisen, ohne die Sicherheit und Integrität des Servers und der Domäne zu gefährden..

Etwas Wichtiges, das wir bedenken müssen, ist, dass wir mit der Delegation der Kontrolle nur Berechtigungen zuweisen, aber keine Berechtigungen für bestimmte Benutzer einschränken oder ändern können. Lassen Sie uns dieses interessante Tool in unseren Organisationen verwenden, um zu vermeiden, dass Benutzer der Gruppe Administratoren hinzugefügt werden, die eine Art Berechtigung benötigen.

Hier ist ein Tutorial, das für Sie von Interesse sein könnte:

AD in Windows Server 2016 verwalten

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
So stellen Sie den Wecker auf Xiaomi Mi Smart Band 4
2
post-title
▷ Beste Geschäfte für Haushaltsartikel und Heimwerker des Hauses
3
post-title
So verbinden Sie WLAN auf dem Mac
4
post-title
▷ So extrahieren Sie Seiten aus einem PDF Adobe Reader - KOSTENLOS OHNE PROGRAMME
5
post-title
Die finale Version von TeamViewer 13 ist jetzt verfügbar

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -